PT-2020-20244 · Wing · Wing Ftp Server
Publicado
2020-03-06
·
Atualizado
2020-03-09
·
CVE-2020-8634
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Wing FTP Server versão 6.2.3
Descrição
A vulnerabilidade permite que arquivos modificados na interface de gerenciamento de arquivos HTTP sejam salvos com permissões de leitura e gravação para todos. Isso poderia permitir que um usuário com privilégios limitados elevasse seus privilégios ao nível de root caso um arquivo sensível do sistema fosse editado dessa forma.
Recomendações
Para o Wing FTP Server versão 6.2.3, considere restringir o acesso a arquivos confidenciais do sistema e modificar as permissões manualmente após a edição para impedir o acesso com permissão de leitura e gravação por todos, até que uma correção esteja disponível.
Exploit
Correção
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wing Ftp Server